ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソフトウェア
  3. InfoCage
  4. InfoCage SiteShell
  5. 導入効果
  6. PCI DSSへの準拠
ここから本文です。

InfoCage SiteShell

PCI DSSへの準拠

PCI DSSの適合状況

InfoCage SiteShellは以下の通り、PCI DSS6.6で必要とされているWAFの機能を提供。
PCI DSS要件6.6に準拠しています。

PCI DSSの認証を取得する条件 InfoCage SiteShell対応状況
実装要件 対応可否 備考
6.6 6.6 一般公開されているWebアプリケーションは、常時、新しい脅威と脆弱性に対処し、以下のいずれかの手法によって既知の攻撃から保護する必要がある。
  • 一般公開されているWebアプリケーションは、アプリケーションのセキュリティ脆弱性を手動/自動で評価するツールまたは手法によって、少なくとも年1回および何らかの変更を加えた後にレビューする
  • 一般公開されているWebアプリケーションの手前に、Webアプリケーションファイアウォールをインストールする
 

また、PCI DSS要件6.5で求められる条件のInfoCage SiteShell対応状況は以下の通りです。

PCI DSSの認証を取得する上で対応すべき脆弱性 InfoCage SiteShell対応状況
WAF実装条件 対応可否 備考
6.5.1 クロスサイトスクリプティング(XSS)  
6.5.2 インジェクションの不具合(特にSQLインジェクション)LDAPとXpathのインジェクションの不具合、その他のインジェクションの不具合も考慮する。 「LDAP」は、個別設定で対応。
6.5.3 悪意のあるファイル実行  
6.5.4 安全でないオブジェクトの直接参照  
6.5.5 クロスサイトリクエストの偽造(CSRF)  
6.5.6 情報漏洩と不適切なエラー処理  
6.5.7 不完全な認証管理とセッション管理 アプリケーション内の認証データの管理はアプリケーションで対処。
6.5.8 安全でない暗号化保存 - Webサーバ側で処理するためWAFでの対処不要。
6.5.9 安全でない通信  
6.5.10 URLアクセスの制限失敗  

PCI DSSとは

PCI DSS(Payment Card Industry Data Security Standard)とはJCB・American Express・Discover・MasterCard・VISAのクレジットカード会社5社が共同で策定した、クレジットカード業界のグローバルセキュリティ基準です。

このPCI DSSは情報セキュリティに~明示的に表されています。
そのため、多くの企業でPCI DSSをセキュリティの基準として採用しています。

WAF導入は「要件6」に明記

PCI DSSには12の要件が定義されています。要件6には、必要に応じてアプリケーション改修を行う、またはWAF導入をすることが要求されています。
しかし現実的には、アプリケーションの改修を継続することは困難な状況です。

12の要件

項番 要件 備考
要件1 データを保護するためにファイアウォールの導入をし、最適な設定を維持すること  
要件2 システムまたはソフトウエアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと  
要件3 保存されたデータを安全に保護すること  
要件4 公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること  
要件5 アンチウイルスソフトを利用し、定期的にソフトを更新すること  
要件6 安全性の高いシステムとアプリケーションを開発し、保守すること アプリケーション改修か、WAFによる対策が必要
要件7 業務目的別にデータアクセスを制限すること  
要件8 コンピュータにアクセスする際、利用者毎に識別IDを割り当てること  
要件9 カード会員情報にアクセスする際、物理的なアクセスを制限すること  
要件10 ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること  
要件11 セキュリティシステムおよび有事の対応手順を定期的にテストすること  
要件12 情報セキュリティに関するポリシーを保持すること  

ページの先頭へ戻る